VIOLAZIONE DEL REGOLAMENTO EUROPEO PRIVACY: SI PUO’ ANCHE SOLO ESSERE AMMONITI O AVVERTITI

In caso di violazione del Regolamento UE 2016/679 si potrebbe anche solo essere ammoniti o avvertiti dal Garante Privacy.

Il nuovo Regolamento prevede pesanti sanzioni amministrative pecuniarie per le Pubbliche Amministrazioni, ovvero fino a 10 milioni di euro o fino a 20 milioni di euro a seconda della norma violata (solo per le imprese le sanzioni amministrative possono arrivare fino al 2 % o al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore).

Tuttavia il Garante Privacy ha diversi poteri correttivi fra cui:

• rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del regolamento;
• rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del regolamento.

Le sanzioni amministrative pecuniarie possono essere inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle altre misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j) (fra cui l’avvertimento e l’ammonimento) o in luogo di tali misure.

In pratica il Garante al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, in ogni singolo caso dovrà tenere in debito conto i seguenti elementi:

1. la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno ed il livello del danno da essi subito;
2. il carattere doloso o colposo della violazione;
3. le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
4. il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche ed organizzative da essi messe in atto;
5. eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
6. il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
7. le categorie di dati personali interessate dalla violazione;
8. la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se ed in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
9. qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
10. l’adesione ai codici di condotta approvati o ai meccanismi di certificazione approvati;
11. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.